卸载掉指定进程中的指定模块

最新推荐文章于 2020-11-24 05:27:49 发布
最新推荐文章于 2020-11-24 05:27:49 发布
阅读量1.2k 收藏
点赞数
分类专栏: Win32 文章标签: module null dll thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/skykrnl/article/details/1869610
版权

//卸载掉指定进程中的指定模块,一般用来清除DLL木马
//
//注:
//1,对于多次调用了LoadLibrary的进程,需要多次调用该函数才能够保证从该进程完全卸载
//2,只有进程创建后动态载入的DLL调用该函数才能够达到效果(如果指定进程的引入表中包含了欲卸载的模块,调用虽然能够成功,但是该模块的函数资源等仍然有效。)。
//
//参数:
//Pid: 进程ID
//Module: 模块名
//
//返回值;成功 TRUE,失败 FALSE
BOOL FreeRemoteModule(DWORD Pid, LPCSTR Module)
{
 //打开目标进程,需要的3种权限
 HANDLE hProcess = OpenProcess(PROCESS_CREATE_THREAD|PROCESS_VM_OPERATION|PROCESS_VM_WRITE, FALSE, Pid);
 if(hProcess==0)
  return FALSE;

 //在目标进程分配内存并将欲卸载的模块名写入
 DWORD len=(DWORD)strlen(Module)+1,wlen=0;
 void* lpBuf=VirtualAllocEx(hProcess, NULL, len, MEM_COMMIT, PAGE_READWRITE);
 if(lpBuf==NULL)
 {
  CloseHandle(hProcess);
  return FALSE;
 }
 if((!WriteProcessMemory(hProcess,lpBuf,(LPVOID)Module,len,&wlen)) || (wlen!=len))
 {
  VirtualFreeEx(hProcess, lpBuf, len, MEM_DECOMMIT);
  CloseHandle(hProcess);
  return FALSE;
 }

 DWORD dwHandle,ret;
 HANDLE hThread;
 LPVOID pFunc;

 ///
 ///dwHandle=GetModuleHandle(Module)
 ///
 pFunc= GetModuleHandleA;
 hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, lpBuf, 0, NULL);
 // 等待GetModuleHandle运行完毕
 ret=WaitForSingleObject(hThread, INFINITE);
 // 获得GetModuleHandle的返回值
 ret=GetExitCodeThread(hThread, &dwHandle);
 // 释放目标进程中申请的空间
 ret=VirtualFreeEx(hProcess, lpBuf, len, MEM_DECOMMIT);
 ret=CloseHandle(hThread);

 ///
 //FreeLibrary(dwHandle);
 ///
 pFunc = FreeLibrary;
 hThread = CreateRemoteThread(hProcess, NULL, 0, (LPTHREAD_START_ROUTINE)pFunc, (LPVOID)dwHandle, 0, NULL);
 // 等待FreeLibrary卸载完毕
 ret=WaitForSingleObject(hThread, INFINITE);
 ret=CloseHandle(hThread);

 ret=CloseHandle(hProcess);
 return TRUE;

ake85
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
易语言源码易语言取进程命令行模块源码.rar
02-18
易语言源码易语言取进程命令行模块源码.rar
VC常用代码之实现卸载指定软件
clever101的专栏
11-21 2039
作者:朱金灿 来源:http://blog.csdn.net/clever101             今天想到要完善一个工具程序,其要在这个工具程序实现卸载指定软件,网上搜了搜,思路是启动一个进程调用指定软件的setup.exe,或者是调用windows的安装服务:msiexec。           很多软件在安装后在注册表保存了一个UninstallString,这个字符串保
无人值守安装Linux
zjc801的专栏
10-27 2168
一、准备PXE服务器 1.系统文件(系统ISO文件) 2.TFTP安装 3.DHCP安装 4.linux内核文件initrd.img 5.引导文件pxelinux.0 default文件 二、安装PXE服务器 1.准备仓库,挂载系统镜像 vim local.repo [server] name=centos baseurl=file:////media/ ghgcheck=1 2.yum install vsftpd tftp-server xinetd 3.启动服务 sy..
卸载进程模块(修改版)
nicholasmaxwell的专栏
05-17 1507
/*卸载其他进程dll加入了权限提升,并改为直接用进程名,这样也方便一点freedll.exe explorer.exe adson.dll============还没有解决:卸载模块成功后,宿主进程可能过会儿会发生异常,有待下会解决,郁闷! --------------------------------------------------------------*/#includ
强制卸载目标进程模块
天道酬勤
03-08 3572
代码来源于网络,卸载模块后通过查询PEB得到进程信息的程序没有得到更新,(如:Windows优化大师和360的进程查看),可以通过冰刃查看。 注:强制卸载可能导致目标进程崩溃。 哈哈,又有了种结束进程的方式,卸载目标进程的ntdll.dll。 下面是代码: class ForceQuit { public: bool EnablePriv() {
如何在不结束进程的情况下卸载进程dll模块
www.pingfi.com
04-24 1872
如何在不结束进程的情况下卸载进程dll模块EnablePrivilege(HANDLE hToken, LPCSTR szPrivName){TOKEN_PRIVILEGES tkp;LookupPrivilegeValue( NULL,szPrivName,&tkp.Privileges[0].Luid );//修改进程权限tkp.PrivilegeCount=1;tkp.Pr
linux命令之netstat
清扬叶
03-18 165
netstat命令各个参数说明如下: -a 或–all 显示所有连线的Socket。 -A <网络类型>或–<网络类型> 列出该网络类型连线的相关地址。 -c 或–continuous 持续列出网络状态...
易语言强制卸载进程模块_Linux D 状态的进程与平均负载
weixin_39969953的博客
11-24 199
这篇文章聊聊 Linux D 状态的进程与平均负载的关系,通过阅读本文,你会了解到这些东西。D 状态的进程是什么如何编写内核模块模拟 D 状态进程Linus 对 D 状态进程的看法平均负载的概念在 top 和 uptime 命令输出的第一行有一个 load average 字段,由三个数字表示,依次表示过去 1 分钟、5 分钟、15 分钟的平均负载(Load Average),如下图所示。值...
枚举进程 进程 模块 查看
08-16
本文及其附带源码为SDK工程,用于枚举进程及其所挂接的所有模块,并实现了远程卸载指定进程模块,此外,实现了对系统运行对话框、文件属性对话框的调用。 关键字:枚举进程进程模块、远程卸载 环境:VC6.0/...
VC进程模块枚举及查看管理器
03-17
内容索引:VC/C++源码,系统相关,进程,枚举,远程卸载 VC++编写的进程模块查看器,用于枚举系统的所有进程及其所挂接的所有模块,并实现了枚举进程、远程卸载指定进程模块、搜索指定进程的功能。上边的截图。此外,这...
注入钩子 安全卸载进程模块 UM(含源码)
11-21
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
注入钩子 安全卸载进程模块 UM
08-17
可遍历进程模块,注入,尽可能安全卸载模块保证进程不会崩溃
易语言-精易模块V6.6.0
06-29
7、新增“鼠标_监视_安装”“鼠标_监视_卸载”,监视鼠标左右键,滚轮,鼠标所在窗口句柄,鼠标当前坐标等信息并输出; 8、新增“类_钩子-安装钩子_鼠标”类模块方式监视鼠标热键; 9、新增“系统_取屏幕数量”...
易语言-精易模块6.60
06-29
7、新增“鼠标_监视_安装”“鼠标_监视_卸载”,监视鼠标左右键,滚轮,鼠标所在窗口句柄,鼠标当前坐标等信息并输出;8、新增“类_钩子-安装钩子_鼠标”类模块方式监视鼠标热键;9、新增“系统_取屏幕数量”判断...
GPSTime,Windows Mobile下开启超高速GPS定位,超高精度对时。
AKe's blog
11-26 2294
由于工作关系,很长时间没有写blog了。最近研究下了下WinMobile程序设计,和GPS原理,写了个GPSTime软件,这是我的首个WindowsMobile程序哦。该程序不仅可以用来快速定位,还可以高精度校正移动电话时间。下面简单介绍下吧。 说明:1,支持WinMobile 5.0以上的系统,需要有GPS硬件或外接GPS设备。2,程序启动的时候,如果检测到没有打开AGPS快速定
内核程序通过KPCR获取内核模块基址
AKe's blog
10-31 1328
函数如下:proc GetNtOsBaseAddr        mov  eax,[fs:34h]        add   eax,18h        mov  eax,[eax]        mov  eax,[eax]        mov  eax,[eax+18h]        retendp 
PE文件格式解析 LUA版本,兼容32/64位
AKe's blog
09-20 1307
PE文件格式解析 LUA版本,兼容32/64位local function readOnly (t) local mtReadOnly = {}; mtReadOnly.__index = t; mtReadOnly.__newindex = function(t,k,v) error("attempt to update a r
WinAPI: GetProcAddress 自实现
AKe's blog
10-20 1092
;***************************************************************************************** ;const void* __stdcall GetAPIAddr(const void* hModule,const char* lpszProcName) ;等价于 const void* __stdcall Ge
编写一个内核模块模块接收用户传递的一个参数n(n为指定要打印的进程控制块的数量);若用户不指定n或是n<0,模块则打印进程控制块的信息(例如可以打印进程PID、进程的可执行文件名等)。
最新发布
05-16
在这个模块,我们使用了`module_param`宏来定义了一个名为`n`的模块参数。我们也定义了两个函数`pinfo_init`和`pinfo_exit`分别在模块加载时和卸载时调用。在`pinfo_init`函数,我们使用了`for_each_process`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值